paper von Tod ([email protected])

Am Dienstag, den 25. April 2017 wurde durch unbekannte Dritte die folgende E-Mail in englischer Sprache versendet. Achtung: Öffnen Sie nicht das PDF-Dokument! Es öffnet sich eine Word-Datei, die ein Makro enthält! Das Makro lädt den Verschlüsselungs- und Erpressungstrojaner „Locky“ (Ransomware) nach, der Ihre Dateien verschlüsselt und in *.osiris umbenennt!

Betreff: paper
Absender: Tod ([email protected])

Achtung: Es handelt sich um eine gefälschte E-Mail! Klicken Sie daher nicht auf die Anlage!

Die E-Mail kommt mit dem Betreff „paper“ und ohne Inhalt. Als Anlage sind Acrobat Reader – Dateien wie z. B. „79c1a3a2c.pdf“ beigefügt. Beim Öffnen des PDF-Dokumentes würde der Acrobat Reader folgende Meldung anzeigen:

Datei öffnen

Die Datei 902397.docm enthält eventuell Programme, Makros oder Viren, die Ihren Computer beschädigen können. Öffnen Sie die Daten nur, wenn Sie davon ausgehen können, dass sie in Ordnung ist. Wie möchten Sie vorgehen?

 

– Diese Datei öffnen
– Öffnen von Dateien dieses Typs immer zulassen
– Öffnen von Dateien dieses Typs niemals zulassen

Öffnen Sie nicht das Word-Dokument, da eine bösartige Software nachgeladen wird! Sofern Sie das darin enthaltene Word-Dokument öffnen, würde dieses zunächst wie folgt aussehen:

Geschützte Ansicht Diese Datei stammt von einem Internetspeicherort und kann ein Risiko darstellen. Klicken Sie hier, um weitere Details anzuzeigen. Bearbeitung aktivieren

This Document is protected!

1 Open the document in Microsoft Office. Previewing offline is not available for protected documents.
2 If this document was downloaded from your email, please click „Enable editing“ from the yellow bar above.
3 One you have enabled editing, please click „Enable content“ on the yellow bar above.

Aufgrund dessen, dass die Datei aus einer Internet-Quelle stammt, müsste zunächst die „Bearbeitung aktiviert“ werden. Sofern Sie Makros nicht automatisch ausführen, müsste auch das noch bestätigt werden:

Sicherheitswarnung Makros wurden deaktiviert. Inhalt aktivieren

Das Makro würde von btudecolombia.com/jhg67g eine Datei nachladen. Aktuell ist die Datei nicht mehr verfügbar („Forbidden“). Führen Sie die Datei / das Makro nicht aus. Bei der nachgeladenen Datei handelt es sich um den Verschlüsselungs- und Erpressungstrojaner „Locky“, der Ihre Dateien in *.osiris umbenennt!

Die nachgeladene Datei wird als ausführbare Datei auf dem System gespeichert. Die Datei hat dabei ein Icon, welches nach dem Acrobat Reader aussehen könnte:

Virustotal zeigt für die Datei bereits eine Erkennungsrate von 33/60. Führen Sie die Datei daher nicht aus!

Nach der Verschlüsselung würde eine entsprechende Meldung erscheinen:

==|–+|
==|.*|||.=+_*|*
_$*_-
_._.-*|$|
.*..=-._=

!! WICHTIGE INFORMATIONEN !!!!
Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt.
Mehr Informationen über RSA können Sie hier finden:
http://de.wikipedia.org/wiki/RSA-Kryptosystem
http://de.wikipedia.org/wiki/Advanced_Encryption_Standard

Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüsseul und einem Entschlüsselungsprogramm, welches sich auf unserem Server befindet, möglich.
Um Ihren privaten Schlüssel zu erhalten, folgen Sie einem der folgenden Links:

Sollte keine der Adressen verfügbar sein, folgen Sie den folgenden Schritten:
1. Laden Sie einen Tor Browser herunter und installieren diesen: https://www.torproject.org/download/download-easy.html
2. Starten Sie den Browser nach der erfolgreichen Installation und warten auf die Initialisierung.
3. Tippen Sie in die Adresszeile: g46mbrrzpfszonuk.onion/*************
4. Folgen Sie den Anweisungen auf der Seite.

!!! Ihre persönliche Identifizierungs-ID lautet: ************** !!!

*+-|a$*.
-.=. |+
+.++|.+

Kommentar(e)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert